本页介绍如何为Azure Databricks工作区配置 IP 访问列表。 本文讨论可以使用 Databricks CLI 执行的最常见任务。
也可以使用 IP 访问列表 API。
注释
工作区 IP 访问列表和基于帐户级别的入口控制一起强制实施。 必须经过两个控制的允许,请求才能成功。
基于上下文的入口控制通过组合标识、请求类型和网络源条件提供精细的安全性。 它在帐户级别配置,单个策略可以控制多个工作区,确保整个组织一致的强制实施。 Databricks 建议使用基于上下文的入口控件作为管理访问的主要方法。 请参阅 基于上下文的入口控件。
工作区 IP 访问列表仍可用于添加基于 IP 地址的附加限制层,但不能将访问权限扩展到基于上下文的入口允许的范围之外。
要求
- 此功能需要高级计划。
- IP 访问列表仅支持 Internet 协议版本 4 (IPv4) 地址。
如果在工作区上启用安全群集连接,则计算平面用于访问控制平面的任何公共 IP 都必须添加到允许列表中,或者必须配置 后端私人链接。 否则,经典计算资源无法启动。
例如,如果你在使用 VNet 注入的工作区上启用安全群集连接,则 Databricks 会建议你为工作区使用一个稳定的出口公共 IP。 该公共 IP 和任何其他 IP 都必须出现在允许列表中。 请参阅 在 Azure 虚拟网络中部署 Azure Databricks (VNet 注入)。 或者,如果使用Azure Databricks管理的 VNet,并且将托管 NAT 网关配置为访问公共 IP,则这些 IP 必须存在于允许列表中。 有关详细信息,请参阅此 Databricks Community 帖子。
检查工作区是否启用了 IP 访问列表功能
若要检查工作区是否启用了 IP 访问列表功能:
databricks workspace-conf get-status enableIpAccessLists
启用或禁用工作区的 IP 访问列表功能
在 JSON 请求正文中,将 enableIpAccessLists 指定为 true(已启用)或 false(已禁用)。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
添加 IP 访问列表
如果启用了 IP 访问列表功能,而工作区没有允许列表或阻止列表,则允许所有 IP 地址。 如果将 IP 地址添加到允许列表,会阻止该列表中未包含的所有 IP 地址。 请仔细查看更改,避免意外的访问限制。
计算平面用于访问控制平面的任何公共 IP 都应添加到允许列表中。
IP 访问列表有一个标签,该标签是列表的名称,也是列表类型。 此列表类型是 ALLOW(允许列表)或 BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。
例如,添加允许列表:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
列出 IP 访问列表
databricks ip-access-lists list
更新 IP 访问列表
至少指定以下值之一进行更新:
-
label- 此列表的标签。 -
list_type-ALLOW(允许列表)或BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。 -
ip_addresses- 一个 IP 地址和 CIDR 范围的 JSON 数组,作为字符串值。 -
enabled- 指定是否启用了该列表。 传递true或false。
响应是您传入对象的一个副本,并包含附加的字段用于标识 ID 和修改日期。
例如,若要禁用列表:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
删除 IP 访问列表
若要删除 IP 访问权限:
databricks ip-access-lists delete <list-id>
后续步骤
- 为帐户控制台配置 IP 访问列表:为帐户控制台访问设置 IP 限制,以控制哪些网络可以访问帐户级设置和 API。 请参阅 配置帐户控制台的 IP 访问列表。
- 配置专用连接:使用Private Link从虚拟网络建立对Azure服务的安全隔离访问,绕过公共 Internet。 请参阅 Azure Private Link 概念。
- 配置 VNet 注入:使用稳定的出口公共 IP 设置 VNet 注入,以提高网络安全。 请参阅 在 Azure 虚拟网络中部署 Azure Databricks (VNet 注入)。